Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Configurazione di NinjaOne SAML in Okta

Argomento

Questo articolo descrive come integrare l'applicazione Okta con NinjaOne utilizzando il Security Assertion Markup Language (SAML).

Ambiente

  • Integrazioni NinjaOne
  • Okta

Descrizione

SAML consente ai tecnici di accedere all'applicazione NinjaOne utilizzando un single sign-on (SSO) con il loro provider preferito. SAML può essere utilizzato sia con l'applicazione web NinjaOne standard che con quella brandizzata, che supporta più IDP (Identity Provider). Per ulteriori informazioni sull'utilizzo di SAML con NinjaOne, consultare il sito NinjaOne Identity Authentication Management: Informazioni su IDP-Initiated Security Assertion Markup Language (SAML).

Indice

Integrazione SAML di NinjaOne

Prerequisiti

Assicurarsi che per ogni utente SSO in NinjaOne, ci sia un'email in Okta che corrisponda.

NinjaOne non supporta la funzione di importazione degli utenti e degli aggiornamenti dei profili di Okta tramite NinjaOne SSO o SCIM.
  • Se si utilizza un URL di branding, assicurarsi che nella configurazione dell'integrazione di Okta siano specificati sia il branding che gli hostname nativi. Questo assicura che entrambi siano impostati come URL di Assertion Consumer Service (ACS).
  • Se si intende utilizzare l'opzione di bypass dell'autenticazione a più fattori (MFA) del login di NinjaOne:
    • Configurare i criteri di autenticazione in Okta per eseguire l'MFA durante il login in Okta.
    • È necessario configurare una proprietà nell'applicazione Okta che faccia riferimento a "session.amr" seguendo queste istruzioni. Per impostazione predefinita, NinjaOne cerca un attributo SAML denominato "amr" che dovrebbe contenere il valore "mfa" quando l'utente esegue l'MFA per la sessione. NinjaOne aggiunge questo attributo per impostazione predefinita all'app, che si trova nel catalogo Okta Integration Network (OIN).
    • Il bypass dell'MFA si verificherà solo per gli account che hanno avuto accesso a Okta con l'autenticazione a più fattori. Se Okta non restituisce l'attributo "mfa" di Authentication Methods Reference (AMR), NinjaOne non bypasserà l'MFA nativo di NinjaOne. Rivedere i criteri di autenticazione in Okta per confermare che l'MFA è richiesto per accedere almeno a NinjaOne accedendo ai criteri di accesso alle app | Okta Identity Engine(esterno). Okta Verify non restituisce un valore AMR di "mfa" e richiede un metodo MFA di accompagnamento per aggirare l'MFA di NinjaOne. 
  • Se si dispone di una configurazione NinjaOne SSO esistente con Okta e si desidera aggiungere la funzione SSO avviata da IDP, è necessario rimuovere e ricreare l'app Identity Provider all'interno di NinjaOne e Okta.

Caratteristiche supportate

Per ulteriori informazioni sulle caratteristiche elencate, consultare il Glossario di Okta. 

  • SSO avviato dal SP
  • SSO avviato da IDP 

Configurare SSO in NinjaOne

Fare riferimento a Sicurezza del login: Configurazione di Single Sign-On in NinjaOne per configurare SSO per il vostro IDP in NinjaOne. 

  • Nel campo Quali domini di posta elettronica si autenticano con questa integrazione?, aggiungere i domini di posta elettronica degli utenti che si autenticano con questo fornitore di identità. Se si lascia questo campo vuoto, qualsiasi utente con un dominio non specificato in un altro IDP sarà indirizzato a questo identity provider per impostazione predefinita.
  • In una scheda separata del browser, navigare alla console Okta Admin per continuare la configurazione. Lasciare aperta la maschera Configura SSO in NinjaOne.

Creare un'integrazione SAML NinjaOne in Okta tramite il modello Okta Integration Network (OIN)

Nella console amministrativa di Okta, è possibile aggiungere l'integrazione SAML di NinjaOne eseguendo i seguenti passaggi:

  1. Navigare in Applicazioni Sfogliare il catalogo delle applicazioni. Cercare "NinjaOne" e fare clic sull'applicazione NinjaOne, quindi selezionare Aggiungi integrazione.
  2. Impostare il Nome visualizzato con il nome che si desidera visualizzare agli utenti.
  3. Tornare a NinjaOne e aprire la configurazione IDP. Copiare l' identificativo unico e incollarlo nel campo SP Unique Identifier di Okta.
configurare sso_unique identifier.png
Immagine 1: NinjaOne Configura SSO → Identificatore univoco
  1. Impostate il nome host primario di NinjaOne sul vostro sito di marca o non di marca (ad esempio, "mycompany.rmmservice.com" o "app.ninjarmm.com"). Questo sarà l'URL predefinito utilizzato per i login avviati dall'IdP.
okta sp uid e hostname.png
Immagine 2: Modello di rete di integrazione Okta
  1. Facoltativamente, aggiungere il valore del sito branded o non branded non utilizzato all'Hostname secondario di NinjaOne come URL del sito alternativo. L'hostname secondario è necessario se si intende accedere alla console NinjaOne tramite il flusso di lavoro avviato dall'SP con l'URL secondario. Se l'URL non brandizzato è secondario, si consiglia di aggiungerlo, poiché i fornitori di identità utilizzano occasionalmente l'URL predefinito come intermediario durante il processo di login.
  2. Impostate la Visibilità dell'applicazione per visualizzarla o meno come disponibile per gli utenti, in base alle esigenze della vostra organizzazione.
  3. Fare clic su Fine per creare l'applicazione SAML.
  4. Rimanere nella console Okta Admin e navigare nella scheda Assegnazioni dell'app SAML appena creata.
  5. Utilizzare il menu a discesa Assegna per aggiungere utenti o gruppi di destinazione per l'applicazione.
Assicurarsi che all'account NinjaOne utilizzato per il provisioning dell'applicazione NinjaOne SAML sia assegnata l'applicazione in Okta. Questo utente deve avere un account NinjaOne con un indirizzo e-mail corrispondente.
  1. Passare alla scheda Sign On e copiare l' URL dei metadati.

Completare l'impostazione SSO in NinjaOne

Tornate alla maschera Configura SSO di NinjaOne per completare la configurazione SSO.

Quando si imposta l'SSO con l'app OIN, il sistema aggiunge l'attributo "amr" per impostazione predefinita. Non è necessario aggiungere questo valore e si possono salvare tutti i valori predefiniti.
  1. In NinjaOne, incollare l' URL dei metadati copiato da Okta nel modulo Importa metadati da, utilizzando il tipo di invio URL predefinito.
  2. Attivare i selettori di abilitazione in base alle esigenze dell'organizzazione.
configurare i metadati di sso_import e abilitare le levette.png
Immagine 3: NinjaOne Configura SSO → completare il processo di configurazione
  1. Fare clic su Prova connessione per completare il processo di autenticazione finale richiesto per la configurazione.

Una volta che la risposta SAML è stata convalidata con successo, verrà visualizzato un messaggio di conferma "La connessione è stata convalidata"

  1. Al termine, fare clic su Salva .

Configurazione di NinjaOne SAML con un'applicazione SAML 2.0 personalizzata

Se le funzionalità incluse nel modello NinjaOne OIN non soddisfano i requisiti di configurazione avanzata dell'impostazione dell'identità dell'organizzazione, è possibile configurare NinjaOne SAML con un'applicazione SAML 2.0 personalizzata.

Queste istruzioni sostituiscono i passaggi da 1 a 7 della precedente sezione intitolata Creare un'integrazione NinjaOne SAML in Okta utilizzando il modello Okta Integration Network (OIN).
  1. Nella console di amministrazione di Okta, navigare in ApplicazioniCrea integrazione app SAML 2.0.
  2. Inserite un identificatore unico per il nome dell'app che desiderate visualizzare agli utenti.
  3. Configurare le impostazioni di Visibilità app e Logo app in base alle esigenze dell'organizzazione e fare clic su Avanti.
  4. In NinjaOne, copiare l' URL della risposta e incollarlo nel campo URL del Single Sign-on in Okta. Se si intende utilizzare l'SSO avviato dall'IdP, questo URL verrà utilizzato per indirizzare gli utenti verso il sito brandizzato o non brandizzato.
  5. In NinjaOne, copiare l' identificatore SP (ID entità) e incollarlo nel campo Audience URI (ID entità SP) di Okta
  6. Lasciare vuoto Default RelayState e mantenere il formato Name ID come "Unspecified"
  7. Il campo Nome utente dell'applicazione per il nome utente di Okta può generalmente rimanere come voce predefinita. Tuttavia, è necessario impostare questo attributo su "Email" se il nome utente di Okta non è un indirizzo e-mail. Questo valore deve corrispondere all'indirizzo e-mail di NinjaOne.
  8. Lasciare invariato il nome utente dell'applicazione Update.
  9. Opzionalmente, se si desidera escludere l'MFA nativo di NinjaOne al momento dell'accesso: Nella sezione Dichiarazioni degli attributi, creare un attributo con il nome "amr" e il valore "session.amr" Per ulteriori informazioni, consultate il materiale sul bypass MFA incluso nella sezione Prerequisiti di questo articolo.
  10. Eseguire i seguenti passaggi per configurare l' URL di risposta nativa (esempio: "https://app.ninjarmm.com"), che può essere utilizzato per l'SSO avviato dall'SP e l'MFA nativo:
    1. Copiare l' identificatore SP (ID entità) dalla maschera Configura SSO di NinjaOne.
    2. Fare clic su Mostra impostazioni avanzate in Okta.  
    3. Incollare l' identificatore SP (ID entità) nel campo Altri URL SSO richiedibili.
    4. Impostare il valore dell'indice su "1"
okta_altra richiesta sso urls.png
Immagine 4: Applicazione Okta Custom SAML 2.0 → Impostazioni avanzate
  1. Clicca su Avanti.
  2. Lasciare in bianco le voci della pagina Feedback e fare clic su Fine.
  3. Completare i passaggi 8-10 della sezione Creare un'integrazione SAML NinjaOne in Okta utilizzando il modello Okta Integration Network (OIN). Le fasi in questione sono:
    1. Rimanere nella console Okta Admin e navigare nella scheda Assegnazioni dell'app SAML appena creata.
    2. Utilizzare il menu a discesa Assegna per aggiungere utenti o gruppi di destinazione per l'applicazione.
    3. Passare alla scheda Sign On e copiare l' URL dei metadati.
  4. Completare tutti i passaggi della sezione Completare l'impostazione SSO in NinjaOne per terminare il processo di impostazione. 

Test dei login avviati dall'SP e dall'IDP

Si consiglia di testare sia i flussi di login avviati dall'SP che quelli avviati dall'IdP con un account di prova prima di cambiare il tipo di autenticazione di tutti gli utenti NinjaOne di destinazione da Nativo a Single Sign-on. In questo modo si evitano potenziali problemi di accesso all'account NinjaOne. 

Durante il test, è necessario rimanere collegati all'account di prova o a un altro account di amministratore di sistema in una scheda standard del browser. Ciò consente di ripristinare il tipo di MFA in caso di problemi di configurazione.
  1. Accedere a NinjaOne con un account di amministratore di sistema che si è soliti utilizzare per i test e a cui è stato assegnato l'accesso all'applicazione del provider di identità Okta.
  2. In NinjaOne, fare clic sull'icona del proprio avatar nell'angolo superiore destro della console e fare clic sul proprio nome per aprire le impostazioni dell'utente.
  3. Passare alla scheda Sicurezza e selezionare Single Sign-On dal menu a discesa Tipo di autenticazione . Salvare le modifiche.
tipo_security_autenticazione.png
Immagine 5: Selezionate il tipo di autenticazione per il vostro account NinjaOne

Per testare l'SSO avviato dall'SP

  1. In una scheda privata o in incognito del browser, navigare verso il sito NinjaOne di marca o non di marca. L'URL del sito dipende dalle impostazioni di configurazione dell'Hostname primario e secondario in Okta.
  2. Inserite il vostro nome utente NinjaOne. Il campo della password dovrebbe scomparire; fare clic su Accedi con Okta. 
accedi con okta.png
Immagine 6: Accedere a NinjaOne utilizzando Okta

Verrete indirizzati a Okta per inserire le vostre credenziali e poi reindirizzati a NinjaOne una volta che l'autenticazione è riuscita. 

Questo conferma il flusso SSO avviato dall'SP. Se il bypass MFA è abilitato e l'utente ha completato l'MFA tramite Okta, non verrà richiesto l'MFA nativo di NinjaOne. 

Per testare l'SSO avviato dall'IdP

  1. In una scheda privata o in incognito del browser, navigare nella dashboard dell'utente finale di Okta.
  2. Fate clic sull'icona dell'applicazione NinjaOne nella sezione Le mie applicazioni. Questo dovrebbe reindirizzare alla dashboard di NinjaOne e confermare il flusso SSO avviato dall'IdP. 

Se il bypass MFA è abilitato e l'utente ha completato l'MFA tramite Okta, non verrà richiesto l'MFA nativo di NinjaOne. 

Configurare l'SSO per gli utenti esistenti

È possibile configurare Okta SSO per gli utenti NinjaOne esistenti dalla console NinjaOne. 

  1. Co in Amministrazione Account Tutti gli utenti.
  2. Selezionare i tecnici o gli utenti finali che si desidera configurare per SSO.
  3. Fare clic su Azioni e selezionare Cambia autenticazione.
  4. Impostare il tipo di autenticazione su Single Sign-On (SSO) e fare clic su Aggiorna per salvare le modifiche.

Il tipo di autenticazione può anche essere aggiornato per utente nella sezione Sicurezza della pagina di configurazione dell'account.

utenti_modifica autenticazione.png
Immagine 7: Account utente NinjaOne → Modifica dell'autenticazione

Risorse aggiuntive

Per saperne di più sui servizi di identità di NinjaOne, consultare Identity Authentication and Management: Catalogo delle risorse.

Per ulteriori informazioni sull'abilitazione di SCIM per Okta, consultare la sezione Configurazione di NinjaOne SCIM in Okta.

Domande frequenti

Passi successivi